【文章內(nèi)容簡介】 6技術(shù)應(yīng)用之前，我們要合理使用IP地址資源。當(dāng)申請到一個建網(wǎng)的IP地址之后，必須合理地劃分子網(wǎng)，每個子網(wǎng)中的IP地址要合理使用，既要滿足當(dāng)今的需要，也要預(yù)留將來網(wǎng)絡(luò)擴展時所需，以便有足夠的各類服務(wù)器連入Internet。按照小區(qū)現(xiàn)有用戶500戶左右的規(guī)模,結(jié)合以上分配原則,網(wǎng)絡(luò)中心將給小區(qū)4公寓分配6個連續(xù)的C類IP地址。其中每個樓層一個C類地址(254個連續(xù)可用IP地址),每個房間預(yù)分配5個IP地址。小區(qū)4公寓網(wǎng)絡(luò)IP地址分配如表1,。DN S:。每個房間的起始IP的選擇方法如下:以本樓的網(wǎng)絡(luò)IP地址為基礎(chǔ),在其第3段加上本房間所在的樓層號,然后再在其第4段加上本房間所在的房間號5。表1 小區(qū)網(wǎng)絡(luò)IP分配表樓層IP范圍網(wǎng)關(guān)1層2層3層4層5層6層4網(wǎng)絡(luò)管理平臺的實現(xiàn)作為一個公共的網(wǎng)絡(luò)服務(wù)平臺，網(wǎng)絡(luò)的可管理性主要包括用戶的安全認(rèn)證、計費、管理等方面。對于網(wǎng)絡(luò)的配置管理、故障管理和性能管理，以太網(wǎng)的管理是比較簡單的，如出現(xiàn)流量過大，需要進行網(wǎng)絡(luò)擴容及網(wǎng)絡(luò)優(yōu)化等，主要依靠該平臺保持用戶服務(wù)的可用性。1用戶認(rèn)證與計費與公司內(nèi)部局域網(wǎng)不同，智能小區(qū)網(wǎng)絡(luò)主要向用戶提供網(wǎng)絡(luò)接入服務(wù)，應(yīng)從網(wǎng)絡(luò)通信層次上控制用戶的上網(wǎng)服務(wù)，給予用戶認(rèn)證，并提供全網(wǎng)的計費策略，建立計費服務(wù)平臺，目前計費的依據(jù)主要有基于流量或時間兩種方式，關(guān)鍵是如何在原始數(shù)據(jù)上建立自己的資費模式。最普遍的模式為固定費率，即我們常說的包月制，存在著不符合用戶真實情況，沒有體現(xiàn)多用多付出的基本原則，只適合于提供服務(wù)初期或提供優(yōu)惠政策時；基于時間的資費模式，比較合理，但因為是基于以太網(wǎng)技術(shù)，只要開機就會監(jiān)測到相關(guān)的IP、MAC地址，如果開機而沒上網(wǎng)，也會計費，對用戶也是一種損失；基于流量的計費模式是目前最合理、最公平的，每一個用戶都有固定的地址，只有在用戶使用網(wǎng)絡(luò)服務(wù)時才產(chǎn)生流量，依據(jù)此地址的進出流量提供報表作為計費依據(jù)是可行的。但是應(yīng)該考慮到在以太網(wǎng)廣播域內(nèi)部的廣播、組播部分的流量，大部分是用于地址發(fā)現(xiàn)和網(wǎng)絡(luò)正常運營中產(chǎn)生的流量，可以平均分?jǐn)偨o各個用戶。記流量這種模式，對設(shè)備硬件及網(wǎng)管系統(tǒng)有一定要求：能夠基于每一個地址統(tǒng)計流量；有足夠的存儲空間存儲計費數(shù)據(jù)；有相關(guān)的賬務(wù)系統(tǒng)，可以給用戶提供賬單。以上三種方式可以結(jié)合使用或者靈活組合，如時間模式中可以夜間半價，流量模式中可以計算下行流量等。對于多功能系統(tǒng)網(wǎng)絡(luò)服務(wù)運營平臺,以及管理高效的智能化社區(qū)的網(wǎng)絡(luò)建設(shè),僅僅有高速的物理網(wǎng)絡(luò)是遠(yuǎn)遠(yuǎn)不夠的,還需要客戶服務(wù)運營管理,用以形成強大的后臺支撐系統(tǒng),推薦采用在城域網(wǎng)中心提供集中的管理計費。通過采用集中計費管理,就不用在每個小區(qū)設(shè)置網(wǎng)絡(luò)中心,從而大大節(jié)約管理成本,使運營商處于有利的競爭地位。2網(wǎng)絡(luò)設(shè)備管理對于一個完整的社區(qū)網(wǎng)絡(luò)而言,由于存在著大量的網(wǎng)絡(luò)設(shè)備,所以為了保障整個網(wǎng)絡(luò)正常運作,就需要使用網(wǎng)管軟件來對整個網(wǎng)絡(luò)的運作進行監(jiān)控。網(wǎng)絡(luò)安全的正常運行、網(wǎng)絡(luò)資源的合理使用,都離不開完善的網(wǎng)管系統(tǒng)。網(wǎng)管系統(tǒng)通過SNMP、RMON等網(wǎng)絡(luò)管理協(xié)議,對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程的監(jiān)控,通過探測每臺網(wǎng)絡(luò)設(shè)備的工作狀態(tài),來保證整個網(wǎng)絡(luò)的可靠性,一旦網(wǎng)絡(luò)設(shè)備出現(xiàn)問題,則網(wǎng)管系統(tǒng)就會及時準(zhǔn)確的發(fā)現(xiàn)問題所在,并發(fā)出警告信息。網(wǎng)管的另一重要的任務(wù)是記錄網(wǎng)絡(luò)的運行狀態(tài),這將為日后網(wǎng)絡(luò)資源的合理調(diào)配提供準(zhǔn)確的數(shù)據(jù),另外通過監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)流量,可計算出各網(wǎng)絡(luò)使用單位對網(wǎng)絡(luò)運行所應(yīng)承擔(dān)的費用。網(wǎng)管系統(tǒng)是由安裝在網(wǎng)絡(luò)設(shè)備中的網(wǎng)絡(luò)管理模塊和網(wǎng)絡(luò)管理工作站組成:位于設(shè)備中的網(wǎng)管模塊負(fù)責(zé)收集設(shè)備本身運行狀態(tài)的各項指標(biāo)和參數(shù),然后將其發(fā)送到指定網(wǎng)管工作站上；網(wǎng)管工作站負(fù)責(zé)接收這些信息,然后對其進行分析和整理,做出必要的反應(yīng)。3數(shù)據(jù)通信安全管理由于社區(qū)網(wǎng)絡(luò)是提供公共接入服務(wù)的運營管理平臺,所以在為用戶提供了高速接入的同時,用戶數(shù)據(jù)通信的安全性將是一個需要迫切解決的問題。由于傳統(tǒng)以太網(wǎng)技術(shù)本身的一些弱點,如:廣播、SPT等,對整個網(wǎng)的服務(wù)可靠性造成威脅。同時如果不采取措施,以太網(wǎng)內(nèi)的用戶,將面臨本地黑客從網(wǎng)絡(luò)第二層次的直接竊聽甚至攻擊。本方案中使用寬帶以太網(wǎng)VCN交換機,利用VCN交換機端口的硬件特性從網(wǎng)絡(luò)二層上完全隔離了每個端口的用戶數(shù)據(jù)流而實現(xiàn)用戶數(shù)據(jù)的安全性,同時由于通過硬件提供網(wǎng)絡(luò)安全,因此不會降低網(wǎng)絡(luò)的整體性能。由于VCN交換機從物理上解決了安全問題,因此在該種交換機中不存在VLAN問題,從而大幅度減少整個網(wǎng)絡(luò)的VLAN數(shù)目,使得整個網(wǎng)絡(luò)更容易實現(xiàn)。另外對于一個完整的社區(qū)網(wǎng)絡(luò)來說,不僅僅要考慮到內(nèi)部用戶在社區(qū)內(nèi)數(shù)據(jù)通信的安全性,同時也要考慮到內(nèi)部用戶在社區(qū)外時訪問社區(qū)內(nèi)網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性,所以對于一個移動用戶通過公網(wǎng)來訪問社區(qū)網(wǎng)絡(luò)的安全性問題,一般通過虛擬私有網(wǎng)絡(luò)(VPN)來實現(xiàn),這些對于處于網(wǎng)絡(luò)二層上的VCN交換機而言也是完全透明的。采用3COM VCN社區(qū)專用寬帶接入交換機,利用其獨有的數(shù)據(jù)轉(zhuǎn)發(fā)機制,則可以在節(jié)約以上成本的情況下,完全的實現(xiàn)內(nèi)網(wǎng)安全。4網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理一般涉及兩方面問題，由于以太網(wǎng)技術(shù)本身的一些弱點，如：廣播、SPT等，對整網(wǎng)的服務(wù)可靠性造成威脅。同時如果不采取措施，以太網(wǎng)內(nèi)的用戶，將面臨本地黑客從網(wǎng)絡(luò)第二層次的直接竊聽甚至攻擊。對于以上問題，一般采用虛擬網(wǎng)絡(luò)技術(shù)從用戶端口到網(wǎng)絡(luò)出口專用邏輯通路。但由于一般網(wǎng)絡(luò)將承載數(shù)以百計的用戶，網(wǎng)絡(luò)管理員通過靜態(tài)設(shè)置，管理同樣數(shù)量的虛擬網(wǎng)和路由，其繁雜度和不靈活性可想而知。與此同時還要考慮此種設(shè)置方案下，網(wǎng)絡(luò)設(shè)備的承載能力。由此可見，社區(qū)網(wǎng)絡(luò)設(shè)計中網(wǎng)絡(luò)運營管理平臺的設(shè)計建設(shè)與接入網(wǎng)相配套是非常關(guān)鍵的。根據(jù)本網(wǎng)絡(luò)對網(wǎng)絡(luò)的安全控制要求,網(wǎng)絡(luò)管理系統(tǒng)要求能夠?qū)φ麄€網(wǎng)絡(luò)進行網(wǎng)絡(luò)的劃分和管理以及交換機配制管理,以保證網(wǎng)絡(luò)用戶在各自的職權(quán)范圍內(nèi)進行操作,避免對其它用戶造成干擾和侵犯。因此使用3COM公司的Network Supervisor作為網(wǎng)管軟件,提供上述的各種功能。5網(wǎng)絡(luò)服務(wù)平臺的優(yōu)化網(wǎng)絡(luò)服務(wù)平臺的優(yōu)化我們主要研究防火墻的建立。防火墻的作用表現(xiàn)在：1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因為只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。 根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。 2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。3）防火墻自身應(yīng)具有非常強的抗攻擊免疫力 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運行。當(dāng)然這些安全性也只能說是相對的。 防火墻產(chǎn)品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。本小區(qū)對防火墻的要求不是甚高，僅僅采用window 自帶的防火墻以及360木馬防火墻，基本能夠防御外界的攻擊。當(dāng)然，防火墻并不是萬能的，但沒有防火墻萬萬不能。4某某小區(qū)網(wǎng)絡(luò)規(guī)劃方案1 以太網(wǎng)接入方案1方案概述 某某小區(qū)有4幢大樓,有500用戶,要求局域網(wǎng)內(nèi)部能實現(xiàn)視頻點播等帶寬占用較大的網(wǎng)絡(luò)服務(wù),各用戶能快速的連接Internet,并且該網(wǎng)絡(luò)能便于將來擴展升級。在小區(qū)網(wǎng)絡(luò)中心放置中心交換機4007,并根據(jù)需要配置相應(yīng)足夠的100M以太網(wǎng)口和千兆模塊。3Com Switch4007適用于較大規(guī)模社區(qū)的園區(qū)主干核心,適用于大中型企業(yè)局域網(wǎng)絡(luò)的核心交換機(48Gbps無阻塞交換能力)。它采用模塊化機架結(jié)構(gòu),即可作為局域網(wǎng)絡(luò)高密度千兆網(wǎng)絡(luò)骨干(提供54個千兆端口),又可以作為高密度10/100M接入交換機(提供216個100M端口)。在會聚層配置VCN Switch 10/100M交換機。VCN Switch主要優(yōu)點:通過采用基于硬件的安全轉(zhuǎn)發(fā)機制實現(xiàn)社區(qū)寬帶以太接入的安全,保證社區(qū)寬帶接入網(wǎng)的性能和安全的同時,最大程度的簡化社區(qū)網(wǎng)絡(luò)的設(shè)計和管理,輕松實現(xiàn)高安全、高性能的寬帶社區(qū)接入網(wǎng)。在終端用戶接入層配置VCN Switch 10/100M交換機。為小區(qū)用戶提供10M或100M到桌面。2 實現(xiàn)技術(shù)由于采用以太網(wǎng)絡(luò)技術(shù) , 故其基礎(chǔ)網(wǎng)絡(luò)設(shè)計方案和技術(shù)實現(xiàn)比較簡單成熟 , 主要包括以下幾個方面 : （1）園區(qū)結(jié)構(gòu)化布線 : 在樓宇之間采用室外光纖(多?；騿文?形成網(wǎng)絡(luò)骨干線路,在單個建筑物內(nèi),根據(jù)具體情況采用室內(nèi)光纖作為樓內(nèi)垂直主干和五類雙絞線到每戶內(nèi)的 方案,或全五類雙絞線的方案。骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般采用星型,但可根據(jù)實際情況及要求,采用樹型、環(huán)型或混合型 。 （2）以太網(wǎng)絡(luò)設(shè)計與實現(xiàn) : 網(wǎng)絡(luò)結(jié)構(gòu)基本上分為核心和邊緣。網(wǎng)絡(luò)核心即社區(qū)網(wǎng)絡(luò)管理中心,一般采用核心級以太網(wǎng)骨干交換機。網(wǎng)絡(luò)的邊緣即各個建筑物內(nèi),一般采用工作組級以太網(wǎng)交換機?？筛鶕?jù)每個建筑物內(nèi)用戶數(shù)量,來確定交換機端口數(shù)量,從而決定采用交換機的數(shù)量。 在物理網(wǎng)絡(luò)整體方案設(shè)計中,應(yīng)著重注意以下幾點 :(1) 布線結(jié)構(gòu)和線纜選擇由于本方案采用局域網(wǎng)絡(luò)以太網(wǎng)技術(shù) ,所以,網(wǎng)絡(luò)布線結(jié)構(gòu)和線纜的選擇設(shè)計應(yīng)參照以太網(wǎng)設(shè)計要求而制定。比如采用 10/100/1000M 以太網(wǎng) 技術(shù)其采用光纖的種類 , 及其傳輸距離是不同的 。 (2) 以太網(wǎng)技術(shù)的選擇可采用千兆以太網(wǎng) 、 快速 100M bps 以太網(wǎng) 、 10Mbps 以太網(wǎng)技術(shù) 。一般園區(qū)骨干可采用千兆或快速以太網(wǎng)技術(shù) , 到每個住 戶 內(nèi) 可采用 10M 以太網(wǎng)技術(shù)即可 。 (3) 網(wǎng)絡(luò)設(shè)備的選擇核心網(wǎng)絡(luò)骨干交換機作為網(wǎng)絡(luò)的核心 , 應(yīng)具備 : 高性能 , 具有高速第二 / 三層交換的能力?？蓴U展性 , 采用槽式機箱或具有堆疊能力 。 可升級和擴展 , 可配置高端口密度和大吞吐量擴展卡 。 高可靠性 , 具有冗余設(shè)計 , 部件應(yīng)易于更換 。 具備豐富和強有力的網(wǎng)絡(luò)控制能力 ,以提供質(zhì)量服務(wù) (QOS) 和網(wǎng)絡(luò)安全 。 良好的可管理特性 , 支持通用的網(wǎng)管協(xié)議 , 如 SNM P/RM ON/RM ON 2 等 。 網(wǎng)絡(luò)邊緣交換機構(gòu)成建筑物內(nèi)用戶直接接入網(wǎng)絡(luò) , 應(yīng)具備 : 靈活性 , 可以提供多種固定端口數(shù)量選擇 , 可堆疊易于擴展接入端口數(shù)量 。 支持千兆 / 百兆高速上連 。 高性能 。 價格便宜 。 使用方便 , 即插即用 。 具備一定的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制能力 。 (4) 服務(wù)運營管理平臺實現(xiàn)社區(qū)網(wǎng)絡(luò)作為一個公用的提供接入服務(wù)的運營網(wǎng)絡(luò) , 其運營服務(wù)管理應(yīng)特別考慮以下兩點 :a) 用戶認(rèn)證與計費 。 與企業(yè)局域網(wǎng)絡(luò)不同 , 社區(qū)網(wǎng)絡(luò)主要向用戶提供網(wǎng)絡(luò)接入服務(wù) 。 應(yīng)從網(wǎng)絡(luò)通訊層次控制用戶的上網(wǎng)服務(wù) , 進行用戶認(rèn)證 。 并應(yīng)設(shè)計全網(wǎng)的計費策略 , 建立相應(yīng)的計費服務(wù)平臺 。 b) 網(wǎng)絡(luò)安全 。 其中包括兩方面問題 。 第一 、 網(wǎng)絡(luò)服務(wù)安全 。 由于采用以太網(wǎng)技術(shù) , 其本身的一些弱點如 : 廣播 、 SPT 等 , 均可因為無意 的錯誤或惡意 的干擾 , 對整網(wǎng)的服務(wù)可靠性造成致命的威脅 。 第二 、 網(wǎng)絡(luò)用戶私密性 。 如果不采取措施 , 以太網(wǎng)內(nèi)的用戶 , 將面臨本地黑客從網(wǎng)絡(luò)第二層次的直接竊聽甚至攻擊 。對于以上問題 , 一般采用虛擬網(wǎng)絡(luò)技術(shù)從用戶端口到網(wǎng)絡(luò)出口建立專用邏輯通路 。 但由于一般網(wǎng)絡(luò)將承載數(shù)以百計的用戶 , 網(wǎng)絡(luò)管理員通過靜態(tài)設(shè)置 , 管理同樣數(shù)量的虛擬網(wǎng)和路由 , 其繁雜度和不靈活性可想而知 。 與此同時 , 還要考慮此種設(shè)置方案下 , 網(wǎng)絡(luò)設(shè)備的承載能力。 由此可見 , 社區(qū)網(wǎng)絡(luò)設(shè)計中網(wǎng)絡(luò)運營管理平臺的設(shè)計建設(shè)與接入網(wǎng)相配套是非常關(guān)鍵的 。 3Com 公司在提供接入網(wǎng)絡(luò)解決方案的同時 ,提供了相對應(yīng)的有效和完備的網(wǎng)絡(luò)運營管理方案。 (5)Internet 多功能服務(wù)平臺設(shè)計實現(xiàn) 除了基礎(chǔ)物理網(wǎng)絡(luò)和網(wǎng)絡(luò)運營管理平臺的設(shè)計,圍繞Internet 的應(yīng)用服務(wù)實現(xiàn) , 也應(yīng)該是網(wǎng)絡(luò)設(shè)計者需要考慮的重點 。 如 :DHCP 服務(wù)器 、 DNS 服務(wù)器 、 防 火墻 系 統(tǒng) 、 Web Cache 、 Web Server 、 電子郵件系統(tǒng)和文件訪問服務(wù)器等 。 面對以上諸多的 Internet 服務(wù) , 對于不同的應(yīng)用 、 不同規(guī)模的網(wǎng)絡(luò)環(huán)境 , 將有不同的解決方案 。 (6